隱私信息管理體系認證
文章來(lái)源:http://barracudaribs.com
發(fā)布時(shí)間:2021-03-22
瀏覽次數:52
ISO27701標準的發(fā)布�����,填補了目前隱私信息管理體系的空白��,將隱私保護的原則�����、理念和方法��,融入到信息安全保護體系中��,并且對PII控制者和PII處理者進(jìn)行了較為詳細且落地性強的規定�����,給企業(yè)在隱私保護和信息安全方面給出了指導建議��。
申請ISO 27701管理體系認證的基本條件:
(1)至少完成一次數據保護/隱私影響評估����、內部審核�����,并進(jìn)行了管理評審��。
(2)申請范圍不超出資質(zhì)許可范圍�、不超出認證機構的業(yè)務(wù)范圍��;
(3)中國企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執照》��、《生產(chǎn)許可證》或等效文件���;外國企業(yè)持有關(guān)機構的登記注冊證明�����。
(4)無(wú)違規轉機構����、無(wú)違法���、無(wú)失信�����;
(5)申請方的ISO27701管理體系認證已按其體系標準的要求建立���,并實(shí)施運行3個(gè)月以上�����。
(6)體系運行期間及建立體系前的一年內未受到主管部門(mén)行政處罰�����。
(7)申報人數與實(shí)際人數相差不超出20%�����;
(8)提供企業(yè)業(yè)務(wù)相關(guān)的必備資質(zhì):如系統集成資質(zhì)�、安防資質(zhì)等���,并且保證資質(zhì)的有效性和合法性
(9)企業(yè)受到行政處罰�����,已經(jīng)處理掉了�,沒(méi)有暫停營(yíng)業(yè)
ISO/IEC 27701隱私信息管理認證辦理好處:
1���、合規�。通過(guò)明確對PII處理者的隱私保護要求�����,可以明確隱私保護管理合規目標���,減輕組織合規負擔的同時(shí)降低了組織合規風(fēng)險����,ISO27701標準附錄D中明確表示�,單個(gè)隱私控制點(diǎn)可以滿(mǎn)足GDPR中的多項要求�。滿(mǎn)足了ISO27701標準也就意味著(zhù)基本滿(mǎn)足GDPR的要求���,而GDPR是眾多隱私保護法規中最為嚴格的��,也就意味著(zhù)滿(mǎn)足了即將頒布的《隱私保護法》的系列要求��。
2�、PIMS認證可以傳遞信任�?���?蛻?hù)或合作伙伴����,尤其是政府組織����、金融機構作為承擔隱私風(fēng)險的機構����,通常為要求PII處理者提供相關(guān)證據(如PIA分析報告)����,從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求�����。通過(guò)得到授權的第三方機構對PII處理者進(jìn)行基于國際標準的審核���,可以極大的降低合規溝通成本��,這種合規透明度的提高對于組織戰略和業(yè)務(wù)決策至關(guān)重要���,同事PIMS認證也有助于向公眾傳達組織的可信度��。
3�����、完善自身數據安全能力和風(fēng)險管理����。實(shí)現持續完善產(chǎn)品的非功能性要求����,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全���、安全治理的績(jì)效����,通過(guò)流程分析�,在流程的輸入��、輸出�、控制過(guò)程中��,識別��、分析�、驗證隱私保護需求��、傳遞隱私保護價(jià)值���,減少甚至消除隱私泄露的風(fēng)險����,如:體現為采用隱私控制技術(shù)(如日志脫敏����、數據庫加密)����、產(chǎn)品架構(如加密芯片)���、技術(shù)路徑(如完整性校驗)等���。
